Privileged Access Management

La Gestión de Cuentas Privilegiadas (PAM) y BYOD

PAM para Dummies: Parte II

Las políticas BYOD (Bring Your Own Device o «traiga su propio dispositivo») están ahora muy extendidas, con datos que sugieren que la adopción de estas tendencias BYOD por parte de las empresas ya alcanza casi el 75%. Osterman Research, empresa de consultoría y análisis del mercado, recientemente señaló que en la actualidad hay hasta el doble de dispositivos personales (iPhones, iPads…) que de dispositivos corporativos en el lugar de trabajo. Hay gente que opina que prohibir los dispositivos personales en el lugar donde se trabaja no sirve para nada porque básicamente se puede decir que su organización ya tiene BYOD implantado aunque no se permita oficialmente.

Riesgos de seguridad a los que BYOD puede exponerle

Lo cierto es que cada vez que introduce una nueva tecnología en el lugar de trabajo modifica el perfil de riesgo de su organización. Una cuestión que nos une a la mayoría de las personas es la resistencia al cambio. La modificación de los hábitos, la falta de comprensión o la simple inercia hacen que lo «malo conocido» siempre sea mejor que lo «bueno por conocer». Pero esto no aplica a las empresas de siglo XXI: las organizaciones de hoy en día tienen que saber adaptarse, ser flexibles y abrazar el cambio para poder ser fructíferas.

Por lo tanto, permitir que los trabajadores traigan sus móviles y tablets personales al trabajo mejora la productividad, así como su estado de ánimo. No obstante, a su vez estas prácticas expanden lo que los profesionales de la seguridad llaman «el perímetro». El perímetro, nombre que proviene del anillo de minas y alambrado de espino que los militares solían utilizar para proteger una fortificación, solía ser únicamente la red. Cuando el firewall estaba en funcionamiento, el perímetro estaba lo suficientemente bien protegido. No obstante, pronto Internet modificó los esquemas, permitiendo que hordas de potenciales infiltrados penetraran el firewall. Así que los firewalls se adaptaron, al igual que las políticas de seguridad, las cuales se fortalecieron para hacer frente a los vectores de ataque nacidos en Internet. Pero, de nuevo, la revolución móvil ha vuelto a abrir otra gran brecha en el perímetro.

Si un ladrón roba el móvil (con hasta 128GB de datos) de uno de sus empleados ya se puede decir que se ha infiltrado en su perímetro, aunque su trabajador esté en la mismísima China. Según Osterman Research, tan solo uno de cada cuatro dispositivos pueden eliminarse de forma remota. Es más, muchos de los móviles que se pierden o roban suelen dejar sus datos completamente expuestos. Y eso, queridos lectores, eso sí que es un problema.

Otros de los riesgos relacionados con BYOD son:

Falta de visibilidad sobre las actividades de actores malignos que utilizan dispositivos móviles para atacar sus datos
El malware se envía a través de dispositivos móviles de forma remota
El malware se utiliza para secuestrar dispositivos móviles que tienen acceso remoto a datos confidenciales y sistemas internos de registros (en ese caso, ni si quiera el usuario sabrá que se ha usado su móvil para atacar a la empresa).
Imposibilidad de bloquear dispositivos que no son propiedad ni están controlados por la organización.
Aunque un usuario incumpla la normativa por accidente, imaginemos, por ejemplo, que transporta un dispositivo móvil por varios países de la UE, realmente estaría violando el Reglamento de Protección de Datos de la UE.

El Papel de las Cuentas Privilegiadas en la Seguridad BYOD

En general no debería preocuparse mucho por la seguridad BYOD. Su departamento de IT seguro que tiene a un gran número de personas competentes implementando una gran cantidad de buenas prácticas, políticas y tecnologías para mitigar el riesgo BYOD. Entre estas encontramos la app store de una empresa, su portal para móviles, la administración de dispositivos y plataformas de gestión de aplicaciones y medidas de seguridad diseñadas concretamente para controlar el acceso de los dispositivos móviles. ¿Está preparado para saber más? Porque allá vamos.

Las buenas prácticas son tan buenas como las personas que las implementan quieren que lo sean. En pocas palabras, la administración de soluciones de seguridad BYOD depende de la buena gestión de las cuentas privilegiadas. Los usuarios privilegiados tienen «acceso root» a los «back-end» de los sistemas que hacen que sus empresas funcionen. A menudo llamados «usuarios administradores» o simplemente «admins», estos pueden establecer, modificar o eliminar cuentas. Estos usuarios también pueden modificar los ajustes en los sistemas de grabación, cambiar roles de usuario y fisgonear datos que no deben.

Normalmente los usuarios privilegiados son individuos en los que las organizaciones confían mucho. Aún así, estos representan grandes vulnerabilidades:

Sus cuentas pueden ser comprometidas, permitiendo que los actores maliciosos se hagan pasar por un usuario privilegiado y siembren el caos. Muchas de las últimas brechas de seguridad más catastróficas fueron causadas por hackers que se hacían pasar por usuarios privilegiados.
Los usuarios privilegiados pueden poner en jaque la seguridad de una organización por error, por ejemplo, al establecer un firewall con los puertos abiertos equivocados.
En algunas ocasiones, los usuarios privilegiados pueden actuar mal de manera intencionada.

Los usuarios privilegiados afectan a la calidad de la seguridad en las políticas y tecnologías que gobiernan a BYOD:

Las app stores de las empresas y los portales para móviles privados

Los usuarios privilegiados también controlan qué versiones de las aplicaciones pueden estar disponibles en la app stores y quién puede acceder a ellas. Asimismo, estos usuarios controlan la instalación y configuración de la misma app store y pueden integrar controles de acceso para el portal con el sistema de gestión de identidades principal de la organización.

Gestión de dispositivos y aplicaciones

Los sistemas que gestionan a los dispositivos y aplicaciones están configurados y gestionados por los usuarios privilegiados. De nuevo, estos usuarios pueden establecer los parámetros de dispositivos móviles y aprovisionamiento de aplicaciones, así como acceder y quizás hasta modificar los registros de auditoría de estos sistemas.

Registros de seguridad móvil

Los registros son extremadamente importantes para mantener el registro de la actividad de los dispositivos móviles. Los usuarios privilegiados establecen y gestionan los sistemas que registran la actividad móvil. Como resultado, los sistemas son susceptibles a controles manuales y otros procesos que pueden ocultar la actividad maliciosa a los auditores.

Tokens de seguridad móviles

Las tecnologías como OAUTH, que permiten que los usuarios no humanos (por ejemplo, un sistema en una compañía de socios) puedan poner las manos en el fuego por un dispositivo móvil que un empleado utiliza, pueden sufrir brechas de seguridad. Los usuarios privilegiados controlan los sistemas que gestionan los tokens.

Gestión del Acceso Privilegiado

La tecnología que ayuda a controlar los accesos privilegiados son las llamadas soluciones de «Gestión del Acceso Privilegiado» o Privileged Access Management (PAM). Lo que este tipo de soluciones hacen es mantener los datos corporativos a salvo de un mal uso de las cuentas privilegiadas, ya sea deliberado como accidental. Las soluciones PAM suelen variar en gran medida de una a otra, pero casi todas tienen en común que proporcionan una forma segura y simplificada de autorizar y monitorear a todos los usuarios privilegiados.
Para los BYOD, PAM puede:

Monitorear el acceso a las cuentas privilegiadas desde dispositivos móviles en tiempo real y avisar o detener las actividades consideradas como sospechosas.
Otorgar privilegios administrativos móviles a los usuarios para que estos accedan únicamente a los sistemas a los que están autorizados.
Otorgar acceso tan solo cuando es necesario y revocarlo tan pronto como deje de serlo.
Gestionar de forma central y rápida el acceso a todos los sistemas que gobiernan las políticas BYOD en su empresa.
Crear una pista de auditoría privilegiada de aquellas operaciones que afecten a las políticas BYOD.

Lo principal es que BYOD abusa de sus sistemas y datos fácilmente y ninguna política de buenas prácticas de BYOD puede impedir que los usuarios privilegiados causen estragos, excepto por la Gestión del Acceso Privilegiado.

Hacerse con la solución PAM adecuada para BYOD

Probablemente ya tenga algún tipo de solución PAM en su organización. Pero, ¿cómo puede saber si es la adecuada para proteger sus políticas BYOD? Dado que BYOD introduce nuevas plataformas, como la gestión de dispositivos móviles, la solución PAM tiene que ser fácil de desplegar tanto en nuevos como en diferentes dispositivos y sistemas. Por ello la adaptabilidad y la facilidad de uso son esenciales. Lo cierto es que las soluciones PAM son muy difíciles de utilizar. Esta es la razón por la que, con frecuencia, los usuarios privilegiados ignoran o esquivan estas soluciones, dejando a las organizaciones expuestas a los mismos riesgos que se supone que PAM está tratando de mitigar.

WALLIX resuelve este problema gracias a una solución PAM fácil de desplegar en prácticamente cualquier dispositivo o plataforma. Es simple y eficaz de mantener, capaz de trabajar con casi todas las cuentas privilegiadas, incluyendo con las más demandadas por las plataformas que gestionan los dispositivos móviles.

¿Que cuál es nuestro secreto? Nuestra solución está diseñada sin agentes, es «agentless». A diferencia de otros productos PAM, WALLIX no obliga al departamento de IT a instalar un software especial en todos los sistemas donde se gestiona el acceso privilegiado. Este tipo de limitación puede reducir la eficacia de PAM para BYOD. Al contrario, WALLIX le da todas las herramientas que necesita para hacer de PAM una herramienta duradera y omnipresente, además de consistente con su seguridad móvil y sus esfuerzos para cumplir con la normativa.

Obtenga más información sobre la seguridad de accesos y cómo puede implementarla gracias a nuestro libro blanco titulado «Guía de Seguridad de Accesos para Principiantes».

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

La Gestión de Cuentas Privilegiadas (PAM) y BYOD

Riesgos de seguridad a los que BYOD puede exponerle

El Papel de las Cuentas Privilegiadas en la Seguridad BYOD

Las app stores de las empresas y los portales para móviles privados

Gestión de dispositivos y aplicaciones

Registros de seguridad móvil

Tokens de seguridad móviles

Gestión del Acceso Privilegiado

Hacerse con la solución PAM adecuada para BYOD

Gestión de Sesiones Privilegiadas

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca